Convention de traitement des données (DPA)
Contrat de sous-traitance au sens de l'article 28 du RGPD
Le présent document constitue le contrat de sous-traitance conclu entre ShiftAI (SASU, SIREN 991 614 470, siège : 58 rue de Monceau, 75008 Paris, France), ci-après le Sous-traitant, et le cabinet d'expertise comptable utilisateur de ShiftCompta, ci-après le Client (responsable de traitement). Ce DPA est annexé aux CGU/CGV de ShiftCompta et prévaut en cas de contradiction avec celles-ci.
Version 1.1
1. Préambule et définitions
1. Préambule et définitions
Le présent accord de traitement des données (ci-après le « DPA ») est conclu conformément à l'article 28 du Règlement (UE) 2016/679 (RGPD). Il encadre les conditions dans lesquelles le Sous-traitant traite des données à caractère personnel pour le compte du Client.
Définitions
- •Données Personnelles : toute information se rapportant à une personne physique identifiée ou identifiable, au sens de l'article 4(1) du RGPD.
- •Traitement : toute opération effectuée sur des Données Personnelles (collecte, enregistrement, conservation, consultation, extraction, effacement, etc.).
- •Violation de Données : une violation de la sécurité entraînant la destruction, la perte, l'altération, la divulgation non autorisée ou l'accès non autorisé à des Données Personnelles.
- •Sous-traitant ultérieur : tout prestataire auquel ShiftAI confie tout ou partie du traitement des Données Personnelles.
2. Objet et description du traitement
2. Objet et description du traitement
Le Sous-traitant fournit au Client la plateforme ShiftCompta, un service de veille réglementaire automatisée destiné aux cabinets d'expertise comptable. Dans ce cadre, le Sous-traitant réalise les opérations suivantes sur les Données Personnelles du Client :
- •Import et stockage des données du portefeuille clients du cabinet
- •Scoring d'impact réglementaire par croisement avec les textes législatifs et réglementaires
- •Génération de briefing notes et d'alertes personnalisées
- •Assistance conversationnelle (chatbot IA) basée sur le portefeuille et la réglementation
3. Durée
3. Durée
Le présent DPA prend effet à la date d'acceptation des CGU/CGV par le Client et reste en vigueur pendant toute la durée de l'abonnement. Il survit à la résiliation du contrat principal jusqu'à la restitution ou la suppression effective de l'ensemble des Données Personnelles conformément à la section 15 ci-dessous.
4. Instructions documentées
4. Instructions documentées
Le Sous-traitant ne traite les Données Personnelles que sur la base d'instructions documentées du Client, y compris en ce qui concerne les transferts de données vers un pays tiers ou une organisation internationale.
Si le Sous-traitant estime qu'une instruction constitue une violation du RGPD ou d'autres dispositions de l'Union ou des États membres relatives à la protection des données, il en informe immédiatement le Client. Le Sous-traitant se réserve le droit de suspendre l'exécution de l'instruction concernée jusqu'à confirmation ou modification par le Client.
Les instructions du Client au titre du présent DPA sont les suivantes : traiter les Données Personnelles uniquement dans le cadre de la fourniture du service ShiftCompta, conformément aux finalités décrites à la section 2.
5. Catégories de données et personnes concernées
5. Catégories de données et personnes concernées
Catégories de données traitées
| Catégorie | Exemples |
|---|---|
| Données d'identification entreprise | SIREN, code NAF, raison sociale, forme juridique |
| Données fiscales et sociales | Régime fiscal, régime social, convention collective |
| Données de localisation | Code postal, adresse du siège social |
| Données d'activité | Effectifs, secteur d'activité, chiffre d'affaires |
| Données comptables et financières | Données importées par le cabinet pour le traitement de veille |
| Données techniques | Logs d'accès, adresses IP, identifiants de session |
Catégories de personnes concernées
- •Personnes morales : sociétés clientes du cabinet
- •Personnes physiques : entrepreneurs individuels, auto-entrepreneurs, gérants, dirigeants
- •Collaborateurs du cabinet : utilisateurs de la plateforme ShiftCompta
- •Tiers : personnes figurant sur les pièces comptables importées (fournisseurs, salariés des clients)
Lieu et durée de traitement
Localisation : Union européenne exclusivement (AWS eu-west-3, Paris)
Base active : durée de l'abonnement
Archivage intermédiaire : 10 ans pour les données soumises à l'obligation comptable (article L.123-22 du Code de commerce)
6. Obligations du Client (responsable de traitement)
6. Obligations du Client (responsable de traitement)
Le Client s'engage à :
- •Disposer d'une base légale valide pour le traitement des Données Personnelles confiées au Sous-traitant
- •Informer les personnes concernées du traitement de leurs données et de l'existence du présent DPA
- •Assurer la bonne gestion des identifiants d'accès à la plateforme ShiftCompta et leur confidentialité
- •Ne pas transmettre au Sous-traitant de données pour lesquelles il ne dispose pas des autorisations nécessaires
Chaîne de sous-traitance : le Client, lorsqu'il agit lui-même en qualité de sous-traitant pour le compte de ses propres clients, garantit avoir obtenu l'autorisation de son client final pour confier les Données Personnelles au Sous-traitant dans les conditions du présent DPA.
7. Confidentialité du personnel
7. Confidentialité du personnel
Le Sous-traitant veille à ce que les personnes autorisées à traiter les Données Personnelles :
- •Soient soumises à une obligation contractuelle de confidentialité
- •Reçoivent une formation régulière en matière de protection des données et de sécurité de l'information
- •N'accèdent qu'aux données strictement nécessaires à l'exercice de leurs fonctions (principe du moindre privilège)
8. Mesures de sécurité (article 32 RGPD)
8. Mesures de sécurité (article 32 RGPD)
Le Sous-traitant met en œuvre les mesures techniques et organisationnelles suivantes, adaptées au risque présenté par le traitement :
| Mesure | Détail |
|---|---|
| Chiffrement en transit | TLS 1.2+ (HTTPS only via AWS CloudFront) |
| Chiffrement au repos | AES-256 via clés gérées AWS (RDS PostgreSQL, ECR, Secrets Manager, CloudWatch Logs) |
| Contrôle d'accès | RBAC, VPC avec subnets privés isolés, Security Groups segmentés par service |
| Pare-feu applicatif (WAF) | AWS WAFv2 attaché à CloudFront : OWASP Core Rule Set, protection SQLi (AWSManagedRulesSQLiRuleSet), limitation de débit par IP |
| Gestion des secrets | AWS Secrets Manager avec fenêtre de récupération de 30 jours |
| Sauvegardes | Sauvegardes automatiques quotidiennes (rétention 7 jours), Point-in-Time Recovery (PITR) sur la fenêtre de rétention, protection contre la suppression (deletion protection) active en production, snapshot final automatique en cas de suppression de l'instance |
| Garde-fous IA | Filtrage de contenu via ShiftGuard (couche de validation propriétaire) sur toutes les réponses du chatbot, journalisation des interactions IA pour audit |
| Monitoring et alertes | Surveillance continue (CPU, mémoire, connexions) avec alertes automatiques |
| Scan de vulnérabilités | Analyse automatique des images conteneur à chaque déploiement |
| Journalisation | Logs centralisés (rétention 30 jours), enregistrement des requêtes lentes |
| Infrastructure as Code | Gestion déclarative de l'infrastructure (Terraform) garantissant auditabilité et reproductibilité |
Le Sous-traitant peut faire évoluer ces mesures dans le temps, sous réserve de ne pas dégrader le niveau de protection global des Données Personnelles.
9. Sous-traitants ultérieurs
9. Sous-traitants ultérieurs
Le Client autorise de manière générale le Sous-traitant à faire appel à des sous-traitants ultérieurs pour la réalisation des prestations. Le Sous-traitant s'engage à :
- •Informer le Client par écrit de tout ajout ou remplacement de sous-traitant ultérieur avec un préavis de 30 jours
- •Imposer aux sous-traitants ultérieurs des obligations de protection des données équivalentes à celles du présent DPA
- •Rester pleinement responsable vis-à-vis du Client de l'exécution des obligations par ses sous-traitants ultérieurs
Le Client dispose d'un droit d'opposition dans un délai de 30 jours suivant la notification. En cas d'opposition légitime non résolue, le Client peut résilier le contrat.
Liste des sous-traitants ultérieurs autorisés
| Sous-traitant | Service | Localisation | Garanties |
|---|---|---|---|
| Amazon Web Services (AWS) | Hébergement, calcul, stockage | UE (Paris, eu-west-3) | DPA AWS signé, hébergement UE |
| Amazon Bedrock (AWS) | Modèle de langage (Claude Anthropic via Bedrock) | UE (Paris, eu-west-3) | Couvert par le DPA AWS, hébergement UE |
| Bedrock Cohere Embed v3 (AWS) | Embeddings vectoriels (recherche sémantique, via Bedrock) | UE (Paris, eu-west-3) | Couvert par le DPA AWS, hébergement UE |
| Bedrock Cohere Rerank (AWS) | Reranking sémantique (Cohere via Bedrock) | UE (Francfort, eu-central-1) | Couvert par le DPA AWS, hébergement UE |
| Cloudflare | DNS uniquement (mode non-proxifié, aucun trafic applicatif) | Anycast mondial (DNS uniquement, sans données personnelles) | Aucune donnée personnelle traitée, DPA Cloudflare |
| Langfuse | Observabilité LLM | UE | DPA Langfuse signé, hébergement UE |
| LangSmith (LangChain) | Tracing LLM | UE (Data Region EU West) | DPA LangChain signé, hébergement UE |
| Stripe | Paiement | UE (Irlande) | DPA Stripe signé, hébergement UE |
| PostHog | Analytics produit (côté front uniquement) | UE (eu.i.posthog.com) | DPA PostHog signé, hébergement UE |
Le CDN et la terminaison TLS sont assurés par AWS CloudFront, couvert par le DPA Amazon Web Services.
La mention « (prévu) » identifie les sous-traitants autorisés dont l'intégration est planifiée mais pas encore active en production. Ils seront activés sans nouvelle notification.
Les API publiques (INPI/RNE, INSEE/SIRENE) ne sont pas des sous-traitants au sens du RGPD mais des tiers destinataires consultés pour enrichir les données du portefeuille.
10. Notification des violations de données
10. Notification des violations de données
En cas de Violation de Données, le Sous-traitant notifie le Client dans un délai de 72 heures à compter du moment où il en a pris connaissance, conformément à l'article 33 du RGPD. La notification comprend :
- •La nature de la violation et les catégories de données concernées
- •Le nombre approximatif de personnes concernées
- •Les conséquences probables de la violation
- •Les mesures prises ou proposées pour remédier à la violation et en atténuer les effets
Le Sous-traitant assiste le Client dans le respect de ses obligations de notification à l'autorité de contrôle (CNIL) et, le cas échéant, aux personnes concernées.
11. Assistance aux droits des personnes
11. Assistance aux droits des personnes
Le Sous-traitant aide le Client à répondre aux demandes d'exercice des droits des personnes concernées (chapitre III du RGPD) : accès, rectification, effacement, limitation, portabilité, opposition.
- •Si le Sous-traitant reçoit directement une demande d'une personne concernée, il la redirige vers le Client dans les meilleurs délais
- •Le Sous-traitant met en œuvre les mesures techniques nécessaires pour donner suite aux demandes dans un délai de 30 jours
- •Contact DPO : privacy@shiftai.ai
12. AIPD et consultations préalables
12. AIPD et consultations préalables
Le Sous-traitant aide le Client à réaliser, si nécessaire, une analyse d'impact relative à la protection des données (AIPD) au titre des articles 35 et 36 du RGPD, en fournissant :
- •Les informations nécessaires sur les traitements effectués et les mesures de sécurité mises en œuvre
- •Les AIPD déjà réalisées par le Sous-traitant sur le service ShiftCompta, sur demande
- •Son assistance dans le cadre d'une consultation préalable auprès de la CNIL
13. Droit d'audit
13. Droit d'audit
Le Client peut vérifier le respect du présent DPA par le Sous-traitant selon les modalités suivantes :
- •Rapports et certifications : le Sous-traitant fournit sur demande ses rapports de conformité (SOC 2, ISO 27001 lorsque disponibles) et toute documentation pertinente
- •Audit sur site : le Client peut réaliser ou faire réaliser un audit, dans la limite d'une fois par an, avec un préavis écrit de 30 jours
- •Les coûts de l'audit sont à la charge du Client, sauf si l'audit révèle un manquement du Sous-traitant
- •L'audit doit être conduit de manière à ne pas perturber le fonctionnement normal du service
14. Transferts hors UE/EEE
14. Transferts hors UE/EEE
Hébergement UE exclusif : l'infrastructure principale de ShiftCompta et l'intégralité des Données Personnelles sont hébergées sur AWS eu-west-3 (Paris, France). Seuls certains artefacts techniques nécessaires au fonctionnement de la couche edge AWS CloudFront (certificats TLS via ACM, métriques agrégées du pare-feu WAF) résident dans la région AWS us-east-1, conformément aux contraintes techniques d'AWS. Ces artefacts ne contiennent aucune donnée à caractère personnel.
À date, aucun transfert de Données Personnelles hors UE/EEE n'est réalisé : l'ensemble des sous-traitants ultérieurs traitant des Données Personnelles est hébergé dans l'Union européenne (AWS eu-west-3 Paris et eu-central-1 Francfort pour le reranking, Stripe Irlande, PostHog UE, Langfuse UE, LangSmith EU West).
Si un transfert hors UE/EEE devenait nécessaire à l'avenir, le Sous-traitant s'assurerait que des garanties appropriées sont en place :
- •Clauses Contractuelles Types (CCT) de la Commission européenne
- •Mesures complémentaires conformément aux recommandations du CEPD (post-Schrems II) : chiffrement, minimisation, contrôles d'accès
- •Évaluation d'impact des transferts (TIA) réalisée pour chaque nouveau sous-traitant ultérieur hors UE, avec notification préalable au Client
15. Sort des données en fin de contrat
15. Sort des données en fin de contrat
À l'expiration ou la résiliation du contrat, le Client dispose d'un choix :
- •Restitution : export des données au format JSON/CSV dans un délai de 30 jours suivant la demande
- •Suppression : destruction définitive de l'ensemble des Données Personnelles dans un délai de 30 jours, avec délivrance d'une attestation écrite de destruction
Archivage légal : les données soumises à l'obligation d'archivage comptable (article L.123-22 du Code de commerce) sont conservées en archivage intermédiaire pendant 10 ans, avec accès restreint. Cette conservation ne fait pas obstacle à l'exercice du droit à l'effacement pour les données non soumises à cette obligation.
16. Responsabilité
16. Responsabilité
La responsabilité du Sous-traitant au titre du présent DPA est régie par les dispositions des CGU/CGV. Le plafond de responsabilité prévu aux CGU/CGV s'applique à l'ensemble des réclamations liées au traitement des Données Personnelles.
Chaque partie est responsable des dommages causés par un traitement non conforme au RGPD. Le Sous-traitant n'est tenu responsable du dommage causé par le traitement que s'il n'a pas respecté les obligations du RGPD qui incombent spécifiquement aux sous-traitants ou s'il a agi en dehors des instructions licites du Client (article 82 du RGPD).
17. Registre des activités de traitement
17. Registre des activités de traitement
Conformément à l'article 30(2) du RGPD, le Sous-traitant tient un registre de toutes les catégories d'activités de traitement effectuées pour le compte du Client. Ce registre est mis à disposition sur demande auprès du DPO ( privacy@shiftai.ai) ou de l'autorité de contrôle compétente (CNIL).
18. Droit applicable et juridictions
18. Droit applicable et juridictions
Le présent DPA est régi par le droit français. En cas de litige relatif à l'interprétation ou à l'exécution du présent accord, les parties s'efforceront de trouver une solution amiable. À défaut, le litige sera porté devant les tribunaux compétents de Paris.
Des questions sur ce DPA ?
Notre DPO est à votre disposition pour toute question relative à la protection des données
Contactez notre DPO